Cloud Logging
Este documento fornece orientações sobre como integrar o Cloud Logging com o Google Security Operations SOAR.
Versão da integração: 1.0
Antes de começar
Para usar a integração, precisa de uma Google Cloud conta de serviço. Pode usar uma conta de serviço existente ou criar uma nova.
Criar uma conta de serviço
Para orientações sobre como criar uma conta de serviço, consulte o artigo Criar contas de serviço.
Se usar uma conta de serviço para se autenticar no Google Cloud, pode criar uma chave de conta de serviço em JSON e fornecer o conteúdo do ficheiro JSON transferido ao configurar os parâmetros de integração.
Por motivos de segurança, recomendamos que use endereços de email da identidade da carga de trabalho em vez de uma chave de conta de serviço. Para mais informações sobre as identidades de cargas de trabalho, consulte o artigo Identidades para cargas de trabalho.
Integre o Cloud Logging com o SOAR do Google SecOps
A integração do Cloud Logging requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Workload Identity Email |
Opcional O endereço de email do cliente da sua identidade de workload. Pode configurar este parâmetro ou o parâmetro Para usar a identidade de contas de serviço com o endereço de email da identidade da carga de trabalho,
atribua a função |
User's Service Account |
Opcional O conteúdo do ficheiro JSON da chave da conta de serviço. Pode configurar este parâmetro ou o parâmetro Para configurar este parâmetro, faculte o conteúdo completo do ficheiro JSON da chave da conta de serviço que transferiu quando criou uma conta de serviço. Para mais informações sobre a utilização de contas de serviço como método de autenticação, consulte o artigo Vista geral das contas de serviço. |
Quota Project ID |
Opcional O Google Cloud ID do projeto que usa para
Google Cloud APIs e faturação. Este parâmetro requer que conceda a função A integração anexa este valor de parâmetro a todos os pedidos da API. Se não definir um valor para este parâmetro, a integração obtém o ID do projeto de quota da sua Google Cloud conta de serviço. |
Organization ID |
Opcional O ID da organização a usar na integração. Se não definir um valor para este parâmetro, a integração obtém o ID do projeto da sua Google Cloud conta de serviço. |
Project ID |
Opcional O ID do projeto a usar na integração. Se não definir um valor para este parâmetro, a integração obtém o ID do projeto da sua Google Cloud conta de serviço. |
Verify SSL |
Obrigatório Se esta opção estiver selecionada, a integração verifica se o certificado SSL para estabelecer ligação ao Cloud Logging é válido. Selecionado por predefinição. |
Para ver instruções sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.
Se necessário, pode fazer alterações numa fase posterior. Depois de configurar uma instância de integração, pode usá-la em manuais de soluções. Para mais informações sobre a configuração e o suporte de várias instâncias, consulte o artigo Suporte de várias instâncias.
Ações
A integração do Cloud Logging inclui as seguintes ações:
Executar consulta
Use a ação Executar consulta para executar consultas personalizadas no Cloud Logging.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
A ação Execute Query requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Project ID |
Opcional O ID do projeto a usar na integração. Se não definir um valor para este parâmetro, a integração obtém o ID do projeto da sua Google Cloud conta de serviço. |
Organization ID |
Opcional O ID da organização a usar na integração. Se não definir um valor para este parâmetro, a integração obtém o ID do projeto da sua Google Cloud conta de serviço. |
Query |
Obrigatório Uma consulta para encontrar os registos. |
Time Frame |
Opcional Um período a partir do qual obter os resultados. Se selecionar Os valores possíveis são os seguintes:
Last Hour. |
Start Time |
Opcional A hora de início para obter resultados. Este parâmetro é obrigatório se tiver selecionado a opção Para configurar este parâmetro, use o formato ISO 8601. |
End Time |
Opcional A hora de fim para obter resultados. Se não definir um valor para este parâmetro e selecionar a opção Para configurar este parâmetro, use o formato ISO 8601. |
Max Results To Return |
Opcional O número máximo de resultados a devolver. O valor predefinido é 50. |
Resultados da ação
A ação Executar consulta fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte descreve o resultado JSON recebido quando usa a ação Execute Query:
[{
"protoPayload": {
"@type": "type.googleapis.com/google.cloud.audit.AuditLog",
"authenticationInfo": {
"principalEmail": "system:clouddns"
},
"authorizationInfo": [
{
"granted": true,
"permission": "io.k8s.coordination.v1.leases.update",
"resource": "coordination.k8s.io/v1/namespaces/kube-system/leases/clouddns-lock"
}
],
"methodName": "io.k8s.coordination.v1.leases.update",
"requestMetadata": {
"callerIp": "192.0.2.6",
"callerSuppliedUserAgent": "clouddns-leader-election"
},
"resourceName": "coordination.k8s.io/v1/namespaces/kube-system/leases/clouddns-lock",
"serviceName": "k8s.io",
"status": {
"code": 0
}
},
"insertId": "ID",
"resource": {
"type": "k8s_cluster",
"labels": {
"cluster_name": "CLUSTER_NAME",
"project_id": "PROJECT_ID",
"location": "us-central1"
}
},
"timestamp": "2024-09-18T09:46:38.647428Z",
"labels": {
"authorization.k8s.io/reason": "RBAC: allowed by ClusterRoleBinding \"system:clouddns\" of ClusterRole \"system:clouddns-role\" to User \"system:clouddns\"",
"authorization.k8s.io/decision": "allow"
},
"logName": "projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity",
"operation": {
"id": "ID",
"producer": "k8s.io",
"first": true,
"last": true
},
"receiveTimestamp": "2024-09-18T09:46:39.063264993Z"
}]
Mensagens de saída
A ação Execute Query (Executar consulta) fornece as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Execute Query". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte descreve os valores do resultado do script quando usa a ação Execute Query:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Tchim-tchim
Use a ação Ping para testar a conetividade ao Cloud Logging.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
Nenhum.
Resultados da ação
A ação Ping fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Não disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mensagens de saída
A ação Ping apresenta as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
Successfully connected to the Cloud Logging server with
the provided connection parameters! |
A ação foi bem-sucedida. |
Failed to connect to the Cloud Logging server! Error is
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte descreve os valores para o resultado do script quando usa a ação Ping:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.